Introdução
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, representa um marco regulatório fundamental para o tratamento de dados pessoais no Brasil. Desde sua plena vigência em 2021, com a aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), empresas de todos os portes e segmentos passaram a ter a obrigação de adequar suas operações às exigências legais.
Neste artigo, apresentamos um panorama prático das principais obrigações empresariais decorrentes da LGPD e as medidas essenciais para que sua empresa esteja em conformidade. Se você busca assessoria especializada, conheça nossa atuação em Direito Digital & LGPD.
Conceitos Fundamentais
A LGPD define como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável. Isso inclui não apenas dados evidentes como nome, CPF e endereço, mas também dados que, combinados, permitam a identificação do titular, como endereço IP, geolocalização e cookies de navegação.
O conceito de tratamento é igualmente amplo e abrange toda operação realizada com dados pessoais: coleta, armazenamento, utilização, compartilhamento, transferência, eliminação, entre outras. Praticamente toda empresa que possui clientes, funcionários ou fornecedores realiza alguma forma de tratamento de dados pessoais e, portanto, está sujeita às disposições da LGPD.
A lei estabelece dois agentes de tratamento: o controlador, que toma as decisões referentes ao tratamento de dados (geralmente a própria empresa), e o operador, que realiza o tratamento em nome do controlador (como prestadores de serviços de TI, contabilidade e marketing digital).
Bases Legais para Tratamento
Todo tratamento de dados pessoais deve estar amparado em uma das dez bases legais previstas no artigo 7º da LGPD. As mais relevantes para o ambiente empresarial são o consentimento do titular, a execução de contrato, o cumprimento de obrigação legal e o legítimo interesse do controlador.
É fundamental que a empresa identifique a base legal adequada para cada operação de tratamento, documentando essa escolha no registro de operações. A utilização de base legal inadequada pode invalidar todo o tratamento realizado e sujeitar a empresa a sanções.
O consentimento, quando utilizado como base legal, deve ser livre, informado, inequívoco e específico para cada finalidade. Formulários com caixas de aceite pré-marcadas ou cláusulas genéricas de autorização não atendem aos requisitos legais e podem ser considerados nulos.
Obrigações do Controlador
A empresa que atua como controladora de dados pessoais possui uma série de obrigações que devem ser observadas durante todo o ciclo de vida dos dados.
Transparência e informação: O controlador deve informar ao titular, de forma clara e acessível, quais dados são coletados, para qual finalidade, por quanto tempo serão armazenados e com quem serão compartilhados. Essa informação geralmente é consolidada na Política de Privacidade da empresa.
Segurança dos dados: A empresa deve adotar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado. Isso inclui controles de acesso, criptografia, backups regulares e treinamento de colaboradores.
Nomeação do Encarregado (DPO): Toda empresa deve indicar um Encarregado pelo Tratamento de Dados Pessoais, responsável por aceitar reclamações dos titulares, receber comunicações da ANPD, orientar funcionários e executar as demais atribuições previstas em lei.
Registro de operações: O controlador deve manter registro das operações de tratamento, especialmente quando fundamentadas em legítimo interesse, documentando a finalidade, a base legal, os tipos de dados tratados e os destinatários.
Sanções e Fiscalização
A ANPD pode aplicar sanções administrativas que variam desde advertência até multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração. Além das multas, a autoridade pode determinar o bloqueio ou a eliminação dos dados pessoais tratados irregularmente, a publicização da infração e a suspensão parcial ou total do funcionamento do banco de dados.
É importante ressaltar que, além das sanções administrativas, a empresa pode ser responsabilizada civilmente pelos danos causados aos titulares em decorrência do tratamento irregular de dados, conforme o artigo 42 da LGPD. Essa responsabilidade pode gerar indenizações por danos morais e materiais, com repercussões financeiras significativas.
Passos para Adequação
O processo de adequação à LGPD deve ser conduzido de forma estruturada e envolver todas as áreas da empresa. As etapas fundamentais incluem a realização de um diagnóstico completo do fluxo de dados pessoais na organização, a elaboração do mapeamento de dados com identificação das bases legais aplicáveis, a revisão e adequação de contratos com fornecedores e parceiros, a implementação de medidas técnicas de segurança da informação, a elaboração ou atualização da Política de Privacidade e dos Termos de Uso, o treinamento dos colaboradores e a nomeação do Encarregado.
Conclusão
A adequação à LGPD não é apenas uma obrigação legal, mas uma oportunidade para a empresa demonstrar compromisso com a proteção de dados e a privacidade de seus clientes, fortalecendo a confiança e a reputação no mercado. A assessoria jurídica em Direito Digital é essencial para conduzir esse processo de forma eficiente e garantir a plena conformidade com a legislação vigente.